Le flux de travail Fortra FileCatalyst est vulnérable à une vulnérabilité d’injection SQL qui pourrait permettre à des attaquants distants non authentifiés de créer des utilisateurs administrateurs non autorisés et de manipuler des données sur la base de données de l’application.
FileCatalyst Workflow est une plate-forme d’échange et de partage de fichiers basée sur le Web prenant en charge les fichiers de grande taille. Il est utilisé par des organisations du monde entier pour accélérer les transferts de données et collaborer dans des espaces de cloud privé.
La vulnérabilité critique (CVSS v3. 1: 9.8), suivie comme CVE-2024-5276, a été découverte le 18 juin 2024 par des chercheurs de Tenable, mais n’a été rendue publique qu’hier.
Fortra explique dans un bulletin de sécurité que la faille permet la création d’utilisateurs administrateurs et la manipulation de bases de données, mais que le vol de données n’est pas viable.
« Une vulnérabilité d’injection SQL dans le workflow Fortra FileCatalyst permet à un attaquant de modifier les données de l’application », lit-on dans le bulletin de Fortra.
« Les impacts probables incluent la création d’utilisateurs administratifs et la suppression ou la modification de données dans la base de données de l’application. L’exfiltration de données via injection SQL n’est pas possible avec cette vulnérabilité. »
La faille affecte le workflow FileCatalyst 5.1.6 Build 135 et les versions antérieures. Des correctifs ont été mis à disposition dans FileCatalyst Workflow 5.1.6 build 139, qui est la cible de mise à niveau recommandée pour les utilisateurs.
L’exploitation non authentifiée nécessite également que l’accès anonyme soit activé sur l’instance cible. Sinon, une authentification est requise pour exploiter CVE-2024-5276.
Exploit public disponible
Tenable a découvert CVE-2024-5276 le 15 mai 2024 et a d’abord divulgué le problème à Fortra le 22 mai, ainsi qu’un exploit de validation de principe (PoC) démontrant la vulnérabilité.
Simultanément à la publication du bulletin de sécurité de Fortra, Tenable a publié son exploit, montrant comment un attaquant distant anonyme peut effectuer une injection SQL via le paramètre « jobID » dans divers points de terminaison d’URL de l’application Web de Workflow.
Le problème est que la méthode’ findJob ‘utilise un’ jobID ‘fourni par l’utilisateur sans nettoyer l’entrée pour former la clause ‘WHERE’ dans une requête SQL, permettant à un attaquant d’insérer du code malveillant.
Le script de Tenable se connecte anonymement à l’application de workflow FileCatalyst et effectue une injection SQL via le paramètre ‘jobID’ pour insérer un nouvel utilisateur administrateur (‘operator’) avec un mot de passe connu (‘password123’).
Finalement, il récupère le jeton d’ouverture de session et utilise les informations d’identification d’administrateur nouvellement créées pour se connecter sur le point de terminaison vulnérable.
Il n’y a eu aucun rapport sur l’exploitation active du problème, mais la publication d’un exploit fonctionnel pourrait changer cela très bientôt.
Début 2023, le gang de rançongiciels Clop a exploité une vulnérabilité zero-day de Fortra GoAnywhere MFT, identifiée comme CVE-2023-0669, dans des attaques de vol de données pour faire chanter des centaines d’organisations utilisant le produit.